帯域外管理の使用のシナリオ例
適用対象: System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2
このトピックの次のセクションでは、Configuration Manager 2007 SP1 で帯域外管理を使用する方法のシナリオ例を示します。
新しいコンピュータの展開
アプリケーションをインストールするためのコンピュータの電源投入
セキュリティ攻撃から保護するためのコンピュータの電源切断
機能しないコンピュータの再イメージング
BIOS 設定の構成
機能しないコンピュータのトラブルシューティング
Wake on LAN および電源オン コマンドを使用したソフトウェアの更新の対応の達成
注意
このトピックの情報は、Configuration Manager 2007 SP1 のみに適用されます。
Woodgrove Bank に関するこれらのすべてのシナリオでは、Configuration Manager 管理者の Mary North が Configuration Manager 階層全体に帯域外管理を実装しました。デスクトップ コンピュータは、AMT ベースで、帯域外管理のすべての前提条件を満たしています。
新しいコンピュータの展開
次のシナリオでは、帯域外管理を使用してオペレーティング システムとアプリケーションをベアメタル コンピュータにインストールする方法について説明します。
Woodgrove Bank は新しいコンピュータの一群を受け取ります。これらのコンピュータはさまざまなブランチの場所に配達されます。会社のポリシーでは、これらのコンピュータで PXE インストールを使用することはできません。また、エンジニアがそれぞれの場所に出向いてオペレーティング システムと必要なアプリケーションを手作業でインストールするのは非常に時間がかかる作業です。ただし、必要なオペレーティング システム、カスタム アプリケーションと設定、および Configuration Manager クライアントが含まれているイメージ ファイルはネットワーク上にあります。
コンピュータの電源が入っていること、効率よく動作していること、会社のポリシーに対応していることを確認するため、Mary North は次の表に概要を示す一連の措置を決定します。
| プロセス | 参照 |
|---|---|
AMT ベースのコンピュータには、カスタマイズされたファームウェア イメージがあり、次の設定が含まれています。
|
|
Mary は、MAC アドレスと UUID を含む、新しいコンピュータの詳細の一覧を持っています。 彼女は、次のようなエントリを使用して、各コンピュータの詳細を含むカンマ区切り形式 (CSV) のファイルをオンラインで作成します。 NEWCOMP1,NEWCOMP1.woodgrovebank.com,55555555-5555-5555-5555-555555555555,05:06:07:08:09:0A 彼女は、メンバを持たない新しいコレクションを作成します。 [コレクション] を右クリックし、[帯域外管理用コンピュータのインポート ウィザード] をクリックします。ウィザードの実行時に、彼女は次のことを指定します。
次に彼女はそれぞれの AMT ベース コンピュータに DHCP 予約を作成し、CSV ファイルに使用したのと同じ MAC アドレスを DHCP 予約に指定します。 |
詳細については、次のトピックを参照してください。 |
Mary は、[AMT のステータス] 列を Configuration Manager コンソールに追加し、定期的に表示を更新して、これらのコンピュータのプロビジョニング ステータスを監視します。 [プロビジョニング済み] と表示された各コンピュータに対し、次の値を使用して手動で DNS にホスト レコードを作成します。
|
|
Mary はプロビジョニング済みの各 AMT ベース コンピュータに帯域外管理コンソールを使用して接続してから、次の操作を実行します。
|
詳細については、次のトピックを参照してください。 |
これまでの一連の操作の結果、コンピュータへのローカル アクセスを必要とせずに、新しいコンピュータは会社のポリシーの要件を満たす方法で展開されました。
アプリケーションをインストールするためのコンピュータの電源投入
次のシナリオでは、従来のウェイクアップ パケットを使用しないで、帯域外管理を使用してコンピュータに電源を入れ、アプリケーションをインストールする (または定期保守を実行する) 方法について説明します。
Woodgrove Bank のマーケティング部門は、非標準のアプリケーションを 5 台のコンピュータにインストールする要求が承認されています。Mary North はこれらの 5 台のコンピュータ用のコレクションおよびアプリケーションを直ちにインストールするための提供情報を既に作成しましています。ユーザーがコンピュータの電源を入れない時間帯で極度に都合が悪くならない時間帯を設定した後で、彼女は次の表に示す操作を実行して、アプリケーションをインストールできるようにコンピュータの電源を入れます。
| プロセス | 参照 |
|---|---|
Mary は Configuration Manager コンソールでコンピュータを見つけ、次の操作を実行します。
アプリケーションのインストールの進行状況を監視します。 |
|
インストールが完了したら、必要に応じて、Configuration Manager リモート コントロール ツールを使用し、Windows からシャットダウン オプションを選択して、各コンピュータを個別にシャット ダウンできます。 注意 帯域外管理電源オフ コマンドは、オペレーティング システムの正常なシャットダウンを行わないため、ここでは適切ではありません。 |
これまでの一連の措置の結果、ネットワーク上でウェイクアップ パケットを送信したり、コンピュータの電源を入れたままにしたり、コンピュータへのローカル アクセスを必要とすることなく、業務時間外にアプリケーションがインストールされました。
セキュリティ攻撃から保護するためのコンピュータの電源切断
次のシナリオでは、コンピュータを稼動したままにしない必要があり、通常の方法でシャットダウンできないときに、帯域外管理を使用してコンピュータの電源を切る方法について説明します。コンピュータの電源を切るのは、コンピュータから電源ケーブルを取り外すのと同じ効果があるため、必ず最後の手段と考える必要があります。つまり、オペレーティング システムは正しくシャットダウンされず、保存されていない作業内容は失われ、ログイン ユーザーに電源オフ操作は通知されません。
Woodgrove Bank には、サーバーやネットワーク上の疑わしいアクティビティを監視する侵入検知システムがあります。早朝に、いずれかのサーバーでセキュリティ攻撃が発生したことを示すアラートが生成されました。デスクトップ コンピュータは通常は夜間に電源が切れていますが、一部のユーザーがコンピュータの電源を入れたままにしました。これらのコンピュータの電源を直ちに切って、セキュリティ上の脅威からコンピュータを保護する必要があります。
セキュリティ上の脅威からコンピュータを保護するため、セキュリティ管理者は次の表の操作を実行します。
| プロセス | 参照 |
|---|---|
セキュリティ管理者は、電源が入っていて、危険にさらされているデスクトップ コンピュータを識別し、それらのコンピュータを Configuration Manager コンソールで見つけます。 彼女は次の操作を実行します。
|
これまでの一連の措置の結果、セキュリティ攻撃に対して脆弱であるこれらのコンピュータのリスクは大幅に減りました。
機能しないコンピュータの再イメージング
次のシナリオでは、他のトラブルシューティング手順に失敗したときに帯域外管理を使用して、機能しないコンピュータを再イメージングする方法について説明します。
Woodgrove Bank には、ビジネスの継続性を妨げるコンピュータ デスクトップの問題は設定時間内に解決する必要があるというヘルプ デスクのポリシーがあります。コンピュータにローカルに保存されているデータはありません。そのため、これらのコンピュータの再イメージングは、報告されているこれらの種類の問題を解決する最も効果的な方法です。ただし、以前は、これはヘルプ デスク エンジニアがサイトに出向くか、ヘルプ デスク間でコンピュータを輸送しなければならないことを意味していました。
機能しないコンピュータをより効果的に再イメージングするため、ヘルプ デスク エンジニアは次の表に概要を示す一連の措置を実行します。
| プロセス | 参照 |
|---|---|
ヘルプ デスク エンジニアは、問題のコンピュータを Configuration Manager コンソールで見つけ、Configuration Manager リモート ツールを使用してクライアント コンピュータに接続できないことを確認します。 彼女は、帯域外管理コンソールを使用してクライアント コンピュータに接続します。 |
|
ヘルプ デスク エンジニアは、次の操作を実行します。
|
|
その日の後になって、エンジニアはコンピュータの状態をチェックし、必要に応じてコンピュータが動作していることを再度確認します。彼女は指定された制限時間内にヘルプ デスク チケットをクローズします。 |
各社独自の手続き。 |
これまでの一連の措置の結果、オペレーティング システムが応答しない場合でも、ローカル アクセスを必要とせずにコンピュータは効率的に再イメージされました。この制御のレベルは、重大な問題をタイミング良く解決するのに役立ち、会社に対して高いレベルのビジネス継続性を保証します。
BIOS 設定の構成
次のシナリオでは、コンピュータへのローカル アクセスを必要とせずに、帯域外管理を使用してデスクトップ コンピュータの BIOS 設定を構成する方法について説明します。
Woodgrove Bank のヘルプ デスクは、新しく展開された 2 台のコンピュータが正常に起動しないという通知を受け取ります。これらはカスタム ビルドで、エンジニアは BIOS 設定が正しく構成されていないことを疑います。
コンピュータへのローカル アクセスなしで、BIOS 設定を確認するため、ヘルプ デスク エンジニアは次の表に概要を示す一連の措置を実行します。
| プロセス | 参照 |
|---|---|
ヘルプ デスク エンジニアは問題のあるコンピュータを Configuration Manager コンソールで見つけ、帯域外管理コンソールを使用してそのコンピュータに接続します。 |
|
ヘルプ デスク エンジニアはそれぞれのコンピュータに対して順番に次の操作を実行します。
コンピュータは自動的に再起動され、オペレーティング システムは正しいディスクから正常に読み込まれます。 |
|
エンジニアは 2 台のコンピュータが動作可能であることを確認し、ヘルプ デスク チケットをクローズします。 |
各社独自の手続き。 |
これまでの一連の措置の結果、コンピュータへのローカル アクセスが必要ないため、これらのコンピュータの解決までの時間は大幅に短縮されました。
機能しないコンピュータのトラブルシューティング
次のシナリオでは、コンピュータへのローカル アクセスを必要とせずに、帯域外管理を使用して機能していない (たとえば、オペレーティング システムが応答しない、読み込まない) デスクトップ コンピュータに対して診断コマンドおよびユーティリティを実行する方法について説明します。
Woodgrove Bank のヘルプ デスクは、コンピュータが応答を停止したという通知を受け取ります。コンピュータをトラブルシューティングするため、ヘルプ デスク エンジニアは次の表に概要を示す一連の措置を実行します。
| プロセス | 参照 |
|---|---|
ヘルプ デスク エンジニアは問題のあるコンピュータを Configuration Manager コンソールで見つけ、帯域外管理コンソールを使用してそのコンピュータに接続します。 |
|
ヘルプ デスク エンジニアは、次の操作を実行します。
|
|
エンジニアは、コンピュータが再起動され、オペレーティング システムが正常に読み込まれるのを確認します。 コンピュータが再び動作可能になったため、彼女はチケットをクローズしますが、今後同じ問題が発生するのを防ぐためにハード ドライブを交換するよう依頼します。 |
各社独自の手続き。 |
これまでの一連の措置の結果、コンピュータへのローカル アクセスが必要ないため、このコンピュータの解決までの時間は大幅に短縮されました。
Wake on LAN および電源オン コマンドを使用したソフトウェアの更新の対応の達成
次のシナリオでは、Configuration Manager でソフトウェアの更新に帯域外管理を使用して、指定した時間内にソフトウェアの更新をインストールするための成功率を向上させる方法について説明します。
Woodgrove Bank には、Windows を実行しているネットワーク上のすべてのコンピュータに重要なセキュリティ関連のソフトウェアの更新が 2 週間以内にインストールされることを必要とするセキュリティ ポリシーがあります。これらのソフトウェアの更新のサーバーへのインストールは 100% の成功率ですが、Configuration Manager 管理者がリリース後 1 週間以内でそれらを展開したにもかかわらず、デスクトップへのインストールは 80% の成功率しかありません。調査の結果、ソフトウェアの更新がインストールされていないコンピュータの電源は、さまざまな理由で切られています。この理由は、ユーザーが休暇や病欠のため、コンピュータが日常的に使用されておらず、特定のアプリケーションやプロセスに必要なときだけ電源が入れられるためなどです。
セキュリティ ポリシーでは、ネットワーク上でのウェイクアップ パケットの送信も禁止されていますが、多くの場合、各コンピュータを見つけ出し、電源を入れ、必要なソフトウェア更新をインストールして対応期限に間に合わせるための十分な時間がありません。
時間内に効率よく対応レベルを実現するため、Mary North は次の表に概要を示す一連の措置を決定します。
| プロセス | 参照 |
|---|---|
Mary は、階層内のプライマリ サイトに対して Wake on LAN を有効にし、[電源オン コマンドのみを使用する] |
スケジュールされたウェイクアップ アクティビティ用の電源オン コマンドを帯域外管理を使用して送信するようにサイトを構成する方法 |
彼女は、帯域外サービス ポイントのプロパティのパケット送信設定を確認し、わずかな変更を加えます。 |
|
複数のコンピュータの電源を入れるために必要な時間に関するドキュメントの情報を読み、それに従って計画を立て、ソフトウェアの更新の展開をまとめて構成できるようにコンピュータの異なるコレクションを作成します。 |
|
Mary は重要なソフトウェアの更新のインストールを細かく監視します。ソフトウェアの更新がまだインストールされていないコンピュータに対して、彼女はソフトウェアの更新が含まれる新しい展開を作成しますが、今度は Wake on LAN に対しても構成されます。このひとまとめのソフトウェアの更新の展開を、彼女が作成したコレクションを対象にします。 |
これまでの一連の措置の結果、重要なソフトウェアの更新は 1 週間以内に大部分のコンピュータにインストールされました。これにより、ソフトウェアの更新を受信する前にスリープ モードになった、電源が入っていなかったなどの理由で、ソフトウェアの更新が依然として必要な少数のデスクトップ コンピュータを見つけ出して修正するためのさらに 1 週間の余裕が生まれます。
大部分のコンピュータにソフトウェアの更新と期限の組み合わせを使用し、電源が切れていた一部のコンピュータに対して Wake On LAN と電源オン コマンドを使用し、非対応のままだった少数のコンピュータに手作業の調査を実施することにより、Woodgrove Bank は毎月対応レベルを満たすことができるようになりました。
参照:
リファレンス
概念
その他のリソース
その他の情報については、「Configuration Manager 2007 Information and Support」 (Configuration Manager 2007 の情報とサポート) を参照してください。
ドキュメント チームに連絡するには、次のアドレスに電子メールを送信してください。 SMSdocs@microsoft.com.